Elektronische Patientenakte: BfDI kritisiert Krankenkassen

Artikel von Dr. Datenschutz·22. September 2021

Künftig soll der Patient per Smartphone steuern können, welcher Arzt welche Befunde einsehen kann. Patienten, die über kein Smartphone verfügen, werden dabei nicht berücksichtigt. Der Bundesdatenschutzbeauftragte hält diese Pläne für rechtswidrig. Der Streit um die elektronische Patientenakte geht damit weiter.

Der Inhalt im Überblick

Die elektronische Patientenakte
Feingranulares Management ab 2022 für Krankenkassen verpflichtend
Bundesdatenschutzbeauftragter fordert datenschutzrechtliche Verbesserungen der ePA
Der BfDI kritisiert Vorgehen der Krankenkassen
Die Krankenkassen verweisen auf Sozialgesetzbuch
Allerdings handelt es sich bei der DSGVO um Europarecht

Die elektronische Patientenakte

Seit dem 01. Januar 2021 können gesetzlich Versicherte eine elektronische Patientenakte (ePA) ihrer Krankenkasse erhalten. Über Praxis- und Krankenhausgrenzen hinweg können nun medizinische Befunde und Informationen aus vorhergehenden Untersuchungen und Behandlungen umfassend gespeichert werden. Das Angebot der elektronischen Personalakte ist für die Patienten freiwillig. Dies wurde aufgrund einer Verfassungsbeschwerde zu Beginn dieses Jahres bereits durch das Bundesverfassungsgericht festgestellt.

Feingranulares Management ab 2022 für Krankenkassen verpflichtend

Ab dem 01. Januar 2022 wird nun auch das feingranulare Management im Rahmen der ePA für Krankenkassen verpflichtend. Bisher ist es den Versicherten nicht möglich, die Zugriffsmöglichkeiten zu ärztlichen Befunden auf einzelne Ärzte zu beschränken. Sobald ein Patient demzufolge in die Nutzung der ePA einwilligt und in der Akte ärztliche Dokumente zur Verwaltung eingepflegt werden, können sämtliche Ärzte des Patienten auf alle in der ePA gespeicherten Dokumente zugreifen. Es gilt also das Alles-oder-Nichts-Prinzip.

Per Gesetz soll es nun künftig möglich sein, den Zugang für Arztpraxen oder Pflegeeinrichtungen zu den einzelnen, in der ePA hinterlegten Dokumenten, feingranular einzustellen. Zunächst gelte dies jedoch nur für Nutzer moderner Smartphones oder Tablets. Für Menschen ohne entsprechende Endgeräte sollen die Möglichkeiten für Zugriffe erst ab 2023 in den Filialen der Krankenkassen ermöglicht werden.

Bundesdatenschutzbeauftragter fordert datenschutzrechtliche Verbesserungen der ePA

Mitte September erhielten vier große gesetzliche Krankenkassen nun einen Bescheid (Volltext) vom Bundesdatenschutzbeauftragten (BfDI) Ulrich Kelber. In diesem Bescheid werden die Krankenkassen angewiesen, allen Patienten den gleichen, von der Datenschutz-Grundverordnung (DSGVO) garantierten Datenschutz, zu gewähren. Insbesondere müsse auch den Versicherten ohne Smartphone eine Einstellung der Zugriffsberechtigungen ermöglicht werden, um ein gleichwertiges Schutzniveau aller Versicherten gewährleisten zu können.

Nach den Ausführungen Kelbers sei Ziel der Anweisung

„gleiches Recht für alle Versicherten“

Würden sich die Krankenkassen jedoch nur an nationales Recht halten, hätten Smartphone Nutzer mehr Rechte als diejenigen, die nicht über ein solches Gerät verfügen.

Der BfDI kritisiert Vorgehen der Krankenkassen

Nach den Ausführungen im 29. Tätigkeitsbericht werde eine große Gruppe von Menschen, die kein eigenes Gerät besitzen oder keines besitzen wollen, von den geplanten Änderungen nicht erfasst. Diese Patienten würden weiterhin in ihrer Patientensouveränität beschränkt.

Alternativ können einem Vertreter mit einem geeigneten technischen Gerät Vertretungsrechte eingeräumt werden. Dies hätte jedoch zur Folge, dass die Versicherten dem Vertretenden alle in ihrer ePA vorhandenen Gesundheitsdaten, d.h. auch intimste Informationen, offenbaren müssten.

Darüber hinaus sei es nach Ansicht des BfDI datenschutzrechtlich kritisch zu bewerten, dass eine Vielzahl von Patienten damit auf Dauer keinen Einblick in die eigene, von ihnen selbst zu führende ePA haben werden. Sie werden also von einer entsprechenden Nutzung der ePA ausgeschlossen. Folglich kann diese Personengruppe auch nicht von den Vorteilen einer ePA in der Gesundheitsversorgung profitieren.

Die Krankenkassen verweisen auf Sozialgesetzbuch

Nach den Vorschriften des fünften Buchs des Sozialgesetzbuchs sei bisher nur die Einrichtung eines Zugriffsmanagements für Endgeräte gefordert. Mit der geplanten Änderung zum 01. Januar 2022 würden die Krankenkassen nach eigenen Angaben demnach die gesetzlichen Vorgaben umsetzen. Diese Umsetzung sei insbesondere auch durch die Aufsichtsbehörde der Krankenkassen, das Bundesamt für Soziale Sicherung, bestätigt worden.

Allerdings handelt es sich bei der DSGVO um Europarecht

Bei den in der ePA gespeicherten Informationen handelt es sich grundsätzlich um Gesundheitsdaten und damit um sensible Daten im Sinne des Art. 9 DSGVO. Unter Berücksichtigung der besonderen Schutzbedürftigkeit von Gesundheitsdaten sollten die Versicherten die volle Hoheit über ihre Daten haben. Dies umfasst auch die Möglichkeit der Einstellung von Zugriffsbeschränkungen. Die fehlende Möglichkeit der Einschränkung von Berechtigungen kann damit einen Verstoß gegen die DSGVO darstellen. Als europäische Verordnung steht diese im Zweifel über dem nationalen Recht.

Gegen die Weisung des Bundesdatenschutzbeauftragten können die Kassen nun innerhalb eines Monats klagen. In diesem Fall müsste das Sozialgericht Köln über die Rechtmäßigkeit der Weisung entscheiden.

- Bundesdatenschutzbeauftragter
  Frauenpower: Specht-Riemenschneider wird neue BfDINews·18. April 2024
- 31. Tätigkeitsbericht des BundesdatenschutzbeauftragtenNews·16. März 2023
- BfDI verbietet den Betrieb der Facebook-FanpageNews·27. Februar 2023
Mehr zum Thema
- Elektronische Patientenakte
  Der Bundesdatenschutzbeauftragte teilt aus – zu Recht!News·6. April 2022
- Das Thema Datenschutz bei der neuen elektronischen PatientenakteFachbeitrag·18. Februar 2021
- Digitale Gesundheit: Herausforderungen für den PatientendatenschutzFachbeitrag·21. August 2019
Mehr zum Thema
- Gesundheitsdaten
  Top 5 DSGVO-Bußgelder im März 2024News·3. April 2024
- Top 5 DSGVO-Bußgelder im Februar 2024News·4. März 2024
- EuGH: Verarbeitung von GesundheitsdatenUrteil·22. Februar 2024
Mehr zum Thema
- Krankenkasse
  Der Datenschutz bei KrankenkassenFachbeitrag·7. Februar 2023
- Spahn plant Triage-Software in Notaufnahmen – auf Kosten der PatientenNews·25. März 2021
- Krankenhaussoftware im Einsatz – Was ist zu beachten?Fachbeitrag·2. Oktober 2019
Mehr zum Thema
- Tätigkeitsbericht
  Der Tätigkeitsbericht der LDA Brandenburg 2023 ist daNews·24. April 2024
- Datenschutzvorfall beim Auftragsverarbeiter – Das erwartet der HBDIFachbeitrag·25. Oktober 2023
- „Paradigmenwechsel in der Datennutzung“Fachbeitrag·29. März 2023
Mehr zum Thema

Beitrag kommentieren

Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

Klicken Sie hier, um den Kommentarbereich anzuzeigen. Kommentare verbergen.

Da sind mehrere spannende Fragen drin. Die erste wäre, ob die DS-GVO im Gesundheitsbereich überhaupt Anwendung findet – das BSG hat das wg. Art. 168 Abs. 7 AEUV ausdrücklich offen gelassen (BSG, Urteil vom 20.1.2021 – B 1 KR 7/20 R). Das wäre aber Voraussetzung, um das deutsche Recht am Maßstab des EU-Rechts zu prüfen. Die zweite Frage wäre, gegen welche Vorgabe der DS-GVO genau verstoßen sein soll. Das wird nämilich nie im Detail dargelegt von den Aufsichtsbehörden. Die dritte wäre, ob das Datenschutzrecht eigentlich der richtige Anknüpfungspunkt ist, um den gleichen Zugang zu freiwilligen Zusatzangeboten des Sozialversicherungsrechts zu erreichen: Gebietet der allgemeine Gleichheitssatz bei derivativen Teilhaberechten überhaupt solch ein Recht? Die vierte Frage wäre, ob die Problematik durch die Einführung des Desktopzugangs nach § 342 Abs. 7 SGB V durch das DVPMG nicht ausreichend adressiert wurde.
Das BAS als Aufsichtsbehörde der betroffenen Krankenkassen teilt die Auffassung des BfDI übrigens nicht. Und die Landesaufsichtsbehörden sind bisher bei den ihrer Aufsicht unterliegenden Krankenkassen mW auch nicht tätig geworden.

Philipp Kircher am 23. September 2021, 13:53 Uhr

Antworten